Firefoxの脆弱性、IE経由で悪用される恐れ

FirefoxとIEの対立が、セキュリティ問題という形で浮上した。

» 2007年07月11日 08時03分 公開
[ITmedia]

 Firefoxブラウザに未パッチの深刻な脆弱性が発見された。Internet Explorer(IE)が関与する形で問題を悪用される恐れがあるという。

 仏FrSIRTなどが7月10日に公開したアドバイザリーによると、FirefoxをWindowsにインストールする過程で導入されるURLハンドラの「FirefoxURL://」に、設計上のエラーが存在する。

 リモートの攻撃者がこの問題を悪用すると、ユーザーをだましてIEで細工を施したページを閲覧させることにより、任意のコマンドを実行し、システムを完全に制御することが可能になる。

 脆弱性が存在するのはFirefox 2.0.0.4およびそれ以前のバージョン。問題を修正する公式パッチは公開されていない。FrSIRTの深刻度評価は4段階で最も高い「Critical」となっている。

 SANS Internet Storm Centerでは、IE経由でこの問題が悪用される仕組みについて分析している。それによると、FirefoxではURLハンドラのインストールに関連してコマンドラインへのアクセス防止措置を取っているとみられるが、IEがこのURLハンドラを呼び出して、Firefoxがインストールしたハンドラ経由でコマンドラインにアクセスできる手段を提供してしまう。その結果、FirefoxがインストールされたマシンのIEユーザーが危険にさらされるという。

 この問題を突いたエクスプロイトも最近公開されたという。

 SANSでは回避策として、FirefoxでインストールされるURLハンドラをレジストリから削除することを推奨。FrSIRTのアドバイザリーでも、FirefoxURLハンドラを削除する方法を紹介している。

Copyright © ITmedia, Inc. All Rights Reserved.